思科系统公司已发布了针对其产品中的两个高危漏洞的安全修复程序,其中包括Webex视频会议平台中的远程代码执行漏洞。
Webex缺陷驻留在Cisco Webex Video Mesh的基于Web的管理界面中,该功能可启用本地基础结构进行视频会议。
“ Cisco Webex Video Mesh基于Web的管理界面中的漏洞可能允许经过身份验证的远程攻击者在受影响的系统上执行任意命令。”阅读思科发布的安全公告。
“该漏洞是由于受影响的软件的基于Web的管理界面未正确验证用户提供的输入而造成的。攻击者可以通过使用管理特权登录到基于Web的管理界面并向应用程序提供精心制作的请求来利用此漏洞。成功的利用可能使攻击者能够在目标节点上以root特权在底层Linux操作系统上执行任意命令。”
经过身份验证的远程攻击者可以通过向应用程序提供精心设计的请求来利用此问题。
此缺陷影响早于2019.09.19.1956m的Cisco Webex Video Mesh软件版本。
该漏洞的CVSS评分为7.2(满分10分)。好消息是,思科表示尚未发现任何利用该漏洞的攻击。
“ Cisco IOS和Cisco IOS XE软件的Web UI中的漏洞可能允许 未经认证,远程攻击者进行受影响的系统上的跨站请求伪造(CSRF)攻击。”思科安全顾问。
“该漏洞是由于受影响的设备上的Web UI的CSRF保护不足所致。攻击者可以说服界面用户跟随恶意链接,从而利用此漏洞。成功的利用可以使攻击者以目标用户的特权级别执行任意操作。如果用户具有管理特权,则攻击者可以更改配置,执行命令或重新加载受影响的设备。”
该漏洞可能被攻击者利用。 未经认证,远程攻击者可以在易受攻击的设备上发起跨站点请求伪造(CSRF)攻击。攻击者可以通过诱骗受害者单击特制链接,然后将伪造的请求发送到设备上运行的Web服务器来利用此问题。
攻击者可以利用此漏洞以目标用户的特权级别执行任意操作。
该问题影响运行启用了HTTP Server功能的16.1.1之前的Cisco IOS或Cisco IOS XE软件的易受攻击版本的Cisco设备。
该漏洞由MehmetÖnder Key提交报告并获得8.8的CVSS评分,Cisco尚不知道有任何针对此问题的漏洞利用。
*编译:Domino
*来自:Security Affairs